伴隨互聯網的高速發展,信息防御體系面臨的風險威脅不斷升級,直逼用戶核心數據。這在資金體量龐大、用戶信息集中、安全隱患影響深遠的金融領域更為明顯。作為金融體系重要組成部分的證券期貨行業,存在交易金額大,操作頻度高的情況,因此,相比銀行和保險行業,對數據安全的要求同樣嚴格,而隨著攻擊手段的不斷演進,加之內外安全威脅并發,邊界安全防御機制已經難以招架傳統網絡環境下的數據安全新問題。
《上海期貨公司信息技術負責人聯席會議》第二十八次會議
9月9日,安華金和受邀參加由上海市期貨同業公會主辦的《上海期貨公司信息技術負責人聯席會議》第二十八次會議,安華金和數據安全專家林鷺現場發表《證券期貨行業數據安全治理》主題演講,結合我們在數據庫安全領域近十年的專業技術積累和實踐經驗,立足行業當前的數據安全合規要求,提出針對整個證券期貨行業的數據安全建設思路。
安華金和數據安全專家林鷺發表主題演講
滿足網安法要求和相關測評標準
《網絡安全法》明確指出網絡運營商關于個人信息保護的責任,如不得泄露、篡改、毀損其收集的個人信息;應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失;采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月。
符合“網絡安全等級保護測評”;ISO/IEC 27000 信息安全管理體系認證;ISO/IEC 20000 信息技術服務管理體系認證等相關標準。
證券期貨行業合規要求
中國證監會作為證券期貨行業監管機構,一直以來高度重視證券市場客戶資料的保護工作,先后制定發布了一系列規定,要求證券公司建立健全客戶資料管理制度及保密機制,并在日常監管中推動落實監管規定。
《證券基金經營機構信息技術管理辦法》(征求意見稿)對經營機構提出數據保護、信息安全保障等管理、實踐要求。除中國證監會及行業核心機構認可的情形外,經營機構不得在生產環境開展技術或者業務測試,不得在開發測試環境使用未經數據脫敏的客戶信息。此外,針對用戶認證、訪問控制管理、監控與審計、數據加密、入侵防護等提出明確要求。
“證券期貨業信息系統審計指南”規定:從身份鑒別、訪問控制、安全審計、運維管理角度對數據庫安全情況進行評估。
“證券期貨業數據安全標準規劃”要求:數據分類管理、分級防護、按過程采取措施等。
結合以上證券期貨行業安全合規要求,對應證監會關于該行業提出的“證券期貨業信息系統審計指南”,我們提出適用于該行業的數據庫安全建設思路:
數據訪問與操作行為管控
審計指南:在線數據未經授權不得訪問、復制。
對數據的修改是否通過審批,雙崗操作并記錄操作日志。
技術應對
利用數據庫安全運維系統,滿足對內部人員、第三方人員數據庫操作的管理要求。數據庫運維安全審批流程管理,保證高危操作和敏感操作必須多人參與和批準;根據運維人員角色、運維數據重要度、運維操作風險類型,設置正常行為放行、可疑操作告警、重點操作審批、異常行為攔截。提供運維審批功能,敏感數據操作行為需要經過審批;審批通過后配發唯一口令碼,確保操作執行者為信任用戶,且執行行為屬于獲批行為。
通過數據庫防火墻技術可以實現對數據庫應用側的外部攻擊防護,具體表現為:漏洞攻擊防護、SQL注入防護;數據庫登錄控制、權限控制;系統表和高危行為控制,返回結果閾值控制;對所有操作生成審計記錄。
特定場景下規范數據安全使用
審計指南:在線數據和離線數據用于非生產環境時,是否進行脫敏處理;用于模擬測試時如無法進行脫敏處理,測試環境應采取與生產環境相當的安全措施。
技術應對
通過數據庫脫敏技術:
實現不依賴數據標識對敏感數據的自動發現,全程自動脫敏,解放人力成本。
保障數據脫敏后的數據質量,確保測試系統、開發系統與業務分析系統能夠高效使用脫敏后的數據。
第三方視角的數據庫安全審計
審計指南:審計范圍是否覆蓋到服務器和重要客戶端上的每個數據庫用戶;應在保證系統運行安全和效率的前提下,啟用系統審計或采用第三方安全審計產品實現審計要求。
是否包含全面的審計內容和審計記錄。
是否能夠根據記錄數據進行分析,并生成審計報表。
技術應對
通過第三方企業的數據庫審計技術:
以“第三方”角度觀察、記錄網絡中對數據庫的訪問行為,并識別訪問風險;
實現全面的數據庫審計,覆蓋審計范圍與內容要求,完美的報表展現,滿足審計記錄要求和審計報表需求;
通過精確的性能監控,找出業務性能瓶頸,幫助提升系統業務性能;
數據庫安全的自動化檢查
審計指南:關于身份鑒別:口令是否符合混排、無規律要求;長度、更換頻率是否滿足要求等。
數據庫運維:是否保持數據庫的可用性,及時維護、更新軟件;是否定期檢查數據庫的用戶、口令及權限設置的正確性。
技術應對
通過漏掃工具完成數據庫自動化檢查,找出數據庫安全弱點,查找數據庫安全漏洞和數據庫危險使用情況,做到防患于未然。
產品咨詢:4000 258 365 
